Dane pracowników dostępne 1,5 roku i NIKT nie zauważył | Decyzja UODO

Описание: 17 milionów złotych kary RODO. Dane pracowników: PESEL-e, numery paszportów, grafiki pracy były publicznie dostępne przez ponad półtora roku. I nikt tego nie zauważył.

W tym odcinku analizuję prawdziwą decyzję Prezesa UODO (sygn. DKN.5130.4179.2020), w której organ nadzorczy stwierdził szereg naruszeń w dużej polskiej sieci restauracji fast-food. Brak analizy ryzyka, brak testowania zabezpieczeń, nieprawidłowa weryfikacja vendora, nieangażowanie IOD — i PESEL jako identyfikator w systemie grafików.
To nie był wyrafinowany cyberatak. To była pomyłka konfiguracyjna.

🔍 W odcinku dowiesz się:
▸ Co dokładnie stwierdził organ nadzorczy i za co nałożył kary
▸ Dlaczego 99% incydentów w chmurze to błędy konfiguracyjne, nie ataki hakerów
▸ Czym jest Exposure Management i dlaczego Gartner uznał to za przyszłość cyberbezpieczeństwa
▸ 6 dobrych praktyk, które mogą ochronić Twoją firmę przed podobną karą
▸ Jak odpowiedzieć zarządowi na pytanie „jak bezpieczni jesteśmy?"

Ten odcinek powstał we współpracy z Tenable - liderem Exposure Management według Gartnera. 🔗 Więcej o Tenable One: https://www.tenable.com/products/tena...

📌 Jeśli chcesz być na bieżąco z tematami cyber, obserwuj mnie w social media:
👉 LinkedIn:   / joanna-wziatek  
👉 Instagram:   / paniodcyber  
👉 Facebook:   / paniodcyber  

-------
📋 NOTA PRAWNA Ten odcinek powstał we współpracy z Tenable. Autorka na co dzień współpracuje z Tenable jako ekspert ds. cyberbezpieczeństwa. Podcast „Cyberbezpieczeństwo po ludzku" jest prowadzony niezależnie pod marką „Pani od Cyber". Analiza, opinie i wnioski są własne autorki.
Treść ma charakter edukacyjny i stanowi opinię ekspercką opartą na publicznie dostępnej decyzji Prezesa UODO (sygn. DKN.5130.4179.2020 z dnia 23 czerwca 2025 r.). Nie znamy pełnego kontekstu wewnętrznego omawianych organizacji. Odcinek nie ma na celu naruszenia dóbr osobistych ani renomy żadnego podmiotu. Scenariusze zastosowania narzędzi mają charakter edukacyjny - nie stanowią gwarancji skuteczności ani porady prawnej.
Źródło: orzeczenia.uodo.gov.pl
CHAPTERY:
00:00:00 Wprowadzenie
00:01:09 Prezes chce odpowiedzi: „Jak bezpieczni jesteśmy?”
00:02:41 Cyber ryzyko z perspektywy zarządu
00:03:12 Rekordowe kary RODO i statystyki
00:04:45 Historia restauracji fast-food
00:05:15 Decyzja UODO i wyciek danych
00:07:23 Co poszło nie tak: vendor, ryzyko, brak testów
00:08:51 Kary i kluczowe pytania zarządu
00:09:33 Złożoność nowoczesnego środowiska IT
00:10:46 Silosy narzędzi i brak pełnego obrazu
00:12:27 Czym jest Exposure Management
00:13:02 Discover – co jest widoczne z internetu
00:13:47 Assess – skany, integracje i kontekst
00:14:36 Priorytetyzacja z MITRE ATT&CK
00:15:29 Respond – plan działania i raport dla zarządu
00:16:26 Pięć praktyk po incydencie
00:20:10 To nie hakerzy – to błędy i misconfig
00:21:07 Podsumowanie
00:23:52 Zakończenie
00:24:19 Nota prawna